Publié le 7 mars 2016 | Mis à jour le 8 mars 2016
Nous avons publié une mise à jour de sécurité pour les appareils Nexus via une mise à jour Over-the-Air (OTA) dans le cadre de notre processus de publication mensuelle des bulletins de sécurité Android. Les images du micrologiciel Nexus ont également été publiées sur le site des développeurs Google. Les builds LMY49H ou versions ultérieures et Android M avec le niveau de correctif de sécurité du 1er mars 2016 ou version ultérieure résolvent ces problèmes. Pour savoir comment vérifier le niveau du correctif de sécurité, consultez la documentation Nexus.
Les partenaires ont été informés des problèmes décrits dans le bulletin le 1er février 2016 ou avant. Le cas échéant, des correctifs de code source pour ces problèmes ont été publiés dans le dépôt du projet Android Open Source (AOSP).
Le plus grave de ces problèmes est une faille de sécurité critique qui pourrait permettre l'exécution de code à distance sur un appareil affecté via plusieurs méthodes, telles que la messagerie, la navigation sur le Web et les MMS lors du traitement de fichiers multimédias. L'évaluation de la gravité est basée sur l'impact potentiel de l'exploitation de la faille sur un appareil concerné, en supposant que les mesures d'atténuation de la plate-forme et du service soient désactivées à des fins de développement ou qu'elles soient contournées.
Nous n'avons reçu aucun signalement d'exploitation active de ces nouveaux problèmes par les clients. Pour en savoir plus sur les protections de la plate-forme de sécurité Android et les protections de service telles que SafetyNet, qui améliorent la sécurité de la plate-forme Android, consultez la section Mitigations. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils.
Stratégies d'atténuation
Voici un résumé des mesures d'atténuation fournies par la plate-forme de sécurité Android et les protections de service telles que SafetyNet. Ces fonctionnalités réduisent la probabilité que des failles de sécurité puissent être exploitées sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à passer à la dernière version d'Android dans la mesure du possible.
- L'équipe de sécurité Android surveille activement les utilisations abusives avec Verify Apps et SafetyNet, qui avertissent des applications potentiellement dangereuses sur le point d'être installées. Les outils de rootage d'appareils sont interdits sur Google Play. Pour protéger les utilisateurs qui installent des applications en dehors de Google Play, l'option "Vérifier les applications" est activée par défaut et avertit les utilisateurs des applications de root connues. Verify Apps tente d'identifier et de bloquer l'installation d'applications malveillantes connues qui exploitent une faille d'escalade de privilèges. Si une telle application a déjà été installée, Vérifier les applications en informe l'utilisateur et tente de la supprimer.
- Le cas échéant, les applications Google Hangouts et Messenger ne transfèrent pas automatiquement les contenus multimédias à des processus tels que mediaserver.
Remerciements
Nous tenons à remercier ces chercheurs pour leur contribution:
- Abhishek Arya, Oliver Chang et Martin Barbella de l'équipe de sécurité Google Chrome: CVE-2016-0815
- Anestis Bechtsoudis (@anestisb) de CENSUS S.A.: CVE-2016-0816, CVE-2016-0824
- Chad Brubaker de la sécurité Android: CVE-2016-0818
- Marque Mark de Google Project Zero: CVE-2016-0820
- Mingjian Zhou (@Mingjian_Zhou), Chiachih Wu (@chiachih_wu) et Xuxian Jiang de l'équipe C0RE de Qihoo 360: CVE-2016-0826
- Peter Pi (@heisecode) de Trend Micro: CVE-2016-0827, CVE-2016-0828, CVE-2016-0829
- Scott Bauer (sbauer@eng.utah.edu, sbauer@plzdonthack.me): CVE-2016-0822
- Wish Wu (@wish_wu) de Trend Micro Inc.: CVE-2016-0819
- Yongzheng Wu et Tieyan Li de Huawei: CVE-2016-0831
- Su Mon Kywe et Yingjiu Li de la Singapore Management University: CVE-2016-0831
- Zach Riggle (@ebeip90) de l'équipe de sécurité Android: CVE-2016-0821
Détails de la faille de sécurité
Dans les sections ci-dessous, nous fournissons des informations sur chacune des failles de sécurité qui s'appliquent au niveau de correctif 2016-03-01. Vous trouverez une description du problème, une justification de la gravité et un tableau contenant l'ID de la faille CVE, le bug associé, la gravité, les versions concernées et la date de signalement. Lorsque disponible, nous associerons la modification AOSP qui a résolu le problème à l'ID de bug. Lorsque plusieurs modifications concernent un même bug, des références AOSP supplémentaires sont associées à des numéros qui suivent l'ID du bug.
Vulnérabilité d'exécution de code à distance dans Mediaserver
Lors du traitement des fichiers multimédias et des données d'un fichier spécialement conçu, des failles dans mediaserver peuvent permettre à un pirate informatique de corrompre la mémoire et d'exécuter du code à distance en tant que processus mediaserver.
La fonctionnalité concernée est fournie en tant que composante de base du système d'exploitation. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture multimédia dans le navigateur.
Ce problème est classé comme critique en raison de la possibilité d'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bugs liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0815 | ANDROID-26365349 | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
| CVE-2016-0816 | ANDROID-25928803 | Critical (Critique) | 6.0, 6.0.1 | Interne Google |
Failles d'exécution de code à distance dans libvpx
Lors du traitement des fichiers multimédias et des données d'un fichier spécialement conçu, des failles dans mediaserver peuvent permettre à un pirate informatique de corrompre la mémoire et d'exécuter du code à distance en tant que processus mediaserver.
La fonctionnalité concernée est fournie en tant que composante de base du système d'exploitation. Plusieurs applications permettent d'y accéder avec du contenu à distance, en particulier les MMS et la lecture multimédia dans le navigateur.
Les problèmes sont classés comme critiques, car ils peuvent être utilisés pour l'exécution de code à distance dans le contexte du service mediaserver. Le service mediaserver a accès aux flux audio et vidéo, ainsi qu'aux droits auxquels les applications tierces ne peuvent normalement pas accéder.
| CVE | Bug avec les liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-1621 | ANDROID-23452792 [2] [3] | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0 | Interne Google |
Élévation des droits dans Conscrypt
Une faille dans Conscrypt pourrait permettre à un type spécifique de certificat non valide, émis par une autorité de certification intermédiaire, d'être incorrectement approuvé. Cela peut permettre une attaque MITM. Ce problème est classé comme critique en raison de la possibilité d'une élévation de privilèges et d'une exécution de code arbitraire à distance.
| CVE | Bug avec les liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0818 | ANDROID-26232830 [2] | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interne Google |
Faille d'élévation de privilège dans le composant Qualcomm Performance
Une vulnérabilité d'élévation de privilège dans le composant de performances Qualcomm peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente de l'appareil. L'appareil ne peut être réparé qu'en reflashant le système d'exploitation.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0819 | ANDROID-25364034* | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Oct 29, 2015 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation de privilège dans le pilote de noyau Wi-Fi MediaTek
Une faille dans le pilote du noyau Wi-Fi MediaTek pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du noyau. Ce problème est classé comme critique en raison de la possibilité d'élever les droits d'accès et d'exécuter du code arbitraire dans le contexte du noyau.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0820 | ANDROID-26267358* | Critical (Critique) | 6.0.1 | Dec 18, 2015 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des droits dans le composant du trousseau de clés du noyau
Une faille d'élévation des privilèges dans le composant du trousseau de clés du noyau peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le noyau. Ce problème est classé comme critique en raison de la possibilité d'une compromission locale permanente de l'appareil. L'appareil ne peut être réparé que par un flashage du système d'exploitation. Toutefois, dans les versions Android 5.0 et ultérieures, les règles SELinux empêchent les applications tierces d'atteindre le code concerné.
Remarque:Pour information, le correctif dans AOSP est disponible pour des versions de kernel spécifiques : 4.1, 3.18, 3.14 et 3.10.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0728 | ANDROID-26636379 | Critical (Critique) | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 janv. 2016 |
Faille de contournement de l'atténuation dans le noyau
Une faille de contournement de l'atténuation dans le noyau peut permettre de contourner les mesures de sécurité en place pour rendre l'exploitation de la plate-forme par les pirates informatiques plus difficile. Ce problème est classé comme étant de gravité élevée, car il pourrait permettre de contourner les mesures de sécurité mises en place pour rendre plus difficile l'exploitation de la plate-forme par des pirates informatiques.
Remarque:La mise à jour de ce problème se trouve dans le flux Linux en amont.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0821 | ANDROID-26186802 | Élevée | 6.0.1 | Interne Google |
Élévation de privilège dans le pilote de kernel de connectivité MediaTek
Une faille d'escalade de privilèges est présente dans un pilote de kernel de connectivité MediaTek, ce qui pourrait permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte du kernel. Normalement, un bug d'exécution de code du kernel comme celui-ci serait classé comme critique, mais comme il nécessite d'abord de compromettre le service conn_launcher, il justifie une rétrogradation à la gravité élevée.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0822 | ANDROID-25873324* | Élevée | 6.0.1 | 24 novembre 2015 |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille de divulgation d'informations dans le noyau
Une faille de divulgation d'informations dans le noyau peut permettre de contourner les mesures de sécurité en place pour rendre l'exploitation de la plate-forme par des pirates informatiques plus difficile. La gravité de ces problèmes est évaluée comme élevée, car ils pourraient permettre de contourner localement les technologies d'atténuation des failles d'exploitation telles que l'ASLR dans un processus privilégié.
Remarque:La solution à ce problème se trouve dans le flux Linux.
| CVE | Bug | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0823 | ANDROID-25739721* | Élevée | 6.0.1 | Interne Google |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille de divulgation d'informations dans libstagefright
Une faille de divulgation d'informations dans libstagefright pourrait permettre de contourner les mesures de sécurité en place pour rendre plus difficile l'exploitation de la plate-forme par les pirates informatiques. La gravité de ces problèmes est évaluée comme élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0824 | ANDROID-25765591 | Élevée | 6.0, 6.0.1 | Nov 18, 2015 |
Vulnérabilité de divulgation d'informations dans Widevine
Une faille de divulgation d'informations dans l'application approuvée Widevine pourrait permettre au code exécuté dans le contexte du noyau d'accéder aux informations du stockage sécurisé TrustZone. La gravité de ce problème est élevée, car il pourrait être utilisé pour obtenir des fonctionnalités élevées, telles que les droits d'autorisation Signature ou SignatureOrSystem.
| CVE | Bug(s) | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0825 | ANDROID-20860039* | Élevée | 6.0.1 | Interne Google |
* Le correctif de ce problème n'est pas disponible dans AOSP. La mise à jour est incluse dans les derniers pilotes binaires pour les appareils Nexus disponibles sur le site des développeurs Google.
Faille d'élévation des droits dans Mediaserver
Une faille d'escalade de privilèges dans mediaserver peut permettre à une application malveillante locale d'exécuter du code arbitraire dans le contexte d'une application système élevée. Ce problème est classé comme étant de gravité élevée, car il peut être utilisé pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles à une application tierce.
| CVE | Bugs liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0826 | ANDROID-26265403 [2] | Élevée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 17 décembre 2015 |
| CVE-2016-0827 | ANDROID-26347509 | Élevée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 28 décembre 2015 |
Faille de divulgation d'informations dans Mediaserver
Une faille de divulgation d'informations dans mediaserver peut permettre de contourner les mesures de sécurité en place pour rendre l'exploitation de la plate-forme par des pirates informatiques plus difficile. Ces problèmes sont classés comme étant de gravité élevée, car ils peuvent également être utilisés pour obtenir des fonctionnalités élevées, telles que les autorisations Signature ou SignatureOrSystem, qui ne sont pas accessibles aux applications tierces.
| CVE | Bugs liés aux liens AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0828 | ANDROID-26338113 | Élevée | 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 décembre 2015 |
| CVE-2016-0829 | ANDROID-26338109 | Élevée | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 27 décembre 2015 |
Vulnérabilité de déni de service à distance dans le Bluetooth
Une faille de déni de service à distance dans le composant Bluetooth peut permettre à un pirate informatique à proximité de bloquer l'accès à un appareil concerné. Un pirate informatique peut provoquer un débordement d'appareils Bluetooth identifiés dans le composant Bluetooth, ce qui entraîne une corruption de la mémoire et l'arrêt du service. La gravité de cette faille est élevée, car elle entraîne un déni de service du service Bluetooth, qui ne peut être résolu que par un flash de l'appareil.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0830 | ANDROID-26071376 | Élevée | 6.0, 6.0.1 | Interne Google |
Faille de divulgation d'informations dans la téléphonie
Une faille de divulgation d'informations dans le composant Telephony peut permettre à une application d'accéder à des informations sensibles. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour accéder de manière inappropriée à des données sans autorisation.
| CVE | Bug avec le lien AOSP | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0831 | ANDROID-25778215 | Modérée | 5.0.2, 5.1.1, 6.0, 6.0.1 | 16 novembre 2015 |
Faille d'élévation des droits dans l'assistant de configuration
Une faille dans l'assistant de configuration pouvait permettre à un pirate informatique disposant d'un accès physique à l'appareil d'accéder à ses paramètres et d'effectuer une réinitialisation manuelle. Ce problème est classé comme étant de gravité modérée, car il pourrait être utilisé pour contourner de manière incorrecte la protection de la réinitialisation d'usine.
| CVE | Bug(s) | Niveau | Versions mises à jour | Date de signalement |
|---|---|---|---|---|
| CVE-2016-0832 | ANDROID-25955042* | Modérée | 5.1.1, 6.0, 6.0.1 | Interne Google |
* Aucun correctif de code source n'est fourni pour cette mise à jour.
Questions fréquentes et réponses
Cette section répond aux questions fréquentes qui peuvent se poser après la lecture de ce bulletin.
1. Comment savoir si mon appareil a été mis à jour pour résoudre ces problèmes ?
Les versions LMY49H ou ultérieures et Android 6.0 avec le niveau de correctif de sécurité du 1er mars 2016 ou version ultérieure résolvent ces problèmes. Pour savoir comment vérifier le niveau du correctif de sécurité, consultez la documentation Nexus. Les fabricants d'appareils qui incluent ces mises à jour doivent définir le niveau de la chaîne de correctif sur : [ro.build.version.security_patch]:[2016-03-01]
Révisions
- 7 mars 2016: publication du bulletin.
- 8 mars 2016: le bulletin a été révisé pour inclure des liens vers AOSP.